非Pattable トラフィックのダイナミック NAT の予期せぬ動作

概要

この資料は IOS ® デバイスの非Pattable トラフィックのダイナミックネットワークアドレス変換（NAT）の予期せぬ動作を記述したものです。

問題

非Pattable トラフィックはダイナミック NAT の場合には NAT 変換テーブルの半エントリを作成します。 これらのエントリはセキュリティリスクとして外部 から 内部 へのトラフィックのためにはたらくので提起します。

NAT の設定

ip nat pool ATT_FIBER 10.10.10.1 10.10.10.6 netmask  255.255.255.248
ip nat inside source list GUEST_SUBNET pool ATT_FIBER overload
ip nat inside source list OFFICE_SUBNETS pool ATT_FIBER overload

ip access-list extended OFFICE_SUBNETS
 deny   ip 172.16.26.0 0.0.0.127 any
 permit ip 172.16.8.0 0.0.1.255 any

ip access-list extended GUEST_SUBNET
 permit ip 172.16.26.0 0.0.0.127 any

udp 10.10.10.1:49370    172.16.9.9:49370      192.168.1.1:53      192.168.1.1:53
udp 10.10.10.1:49535    172.16.9.9:49535      192.168.2.2:53    192.168.2.2:53
tcp 10.10.10.1:53133    172.16.9.9:53133      192.168.3.3:80     192.168.3.3:80
tcp 10.10.10.1:56311    172.16.9.9:56311      192.168.4.4:5816    192.168.4.4:5816
--- 10.10.10.1         172.16.9.9            ---                   ---

半分エントリはパケットが内側から始められるとき- > 外部であるところで内部のマッピングが- > 外部またはある特定の場合作成されます。

時ルータが NAT overload 設定（ポート Addess 用に設定される変換（PAT）） そして非pattable トラフィックはこのトラフィックのためにルータを、非pattable バインド エントリ作成されます見つけます。 それはこの種類の NAT 表のエントリの原因となります:

--- 10.10.10.1        172.16.9.9            ---                   ---

このバインド エントリはプールからの全体のアドレスを消費します。 この例では、10.10.10.1 は過剰にされたプールからのアドレスです。

それはスタティック NAT に類似したである Outside Global IP に結合 される Inside Local IP アドレス gets を意味します。 このような理由で時間を計られる現在のエントリ gets が新しい Inside Local IP アドレスこのグローバルIPアドレスを使用できないまで。 このバインドのために作成されるすべての変換は過負荷の代りに変換 1 に1 あります。

解決策

この問題を解決するために、ダイナミック NAT と route-maps を使用できます。  route-maps によって、NAT は半エントリを作成しませんし、プール過負荷の代りにインターフェイス過負荷を使用しません。 非pattable バインディングはインターフェイス過負荷の場合には作成されません。